アクセスアクティビティに基づいてポリシーを生成する

管理者またはデベロッパーは、IAM エンティティ (ユーザーまたはロール) に必要な権限を超えるアクセス許可を付与することがあります。IAM には、付与するアクセス許可を絞り込むのに役立つオプションがいくつか用意されています。1 つのオプションは、エンティティのアクセスアクティビティに基づく IAM ポリシーを生成することです。IAM Access Analyzer は AWS CloudTrail ログを確認し、指定した日付範囲内のロールが使用したアクセス許可を含むポリシーテンプレートを生成します。テンプレートを使用して、特定のユースケースをサポートするために必要なアクセス許可のみを付与する、きめ細かなアクセス許可を持つポリシーを作成できます。

たとえば、自分がデベロッパーであり、エンジニアリングチームがプロジェクトに取り組んで新しいアプリケーションを作成しているとします。実験が積極的にできるように、チームが迅速に活動できるように、アプリケーションの開発中は幅広い権限を持つロールを設定します。アプリケーションを稼働させる準備が整ったとします。アプリケーションを本番稼働用アカウントで起動する前に、アプリケーションが機能するためにロールに必要な最低限のアクセス許可を特定する必要があります。これにより、最小アクセス権限の付与のベストプラクティスに準拠できるようになります。開発アカウントでアプリケーションに使用していたロールのアクセスアクティビティに基づいて、ポリシーを生成できます。生成されたポリシーをさらに絞り込み、そのポリシーを本番稼働用アカウントのエンティティにアタッチできます。

IAM Access Analyzer ポリシーの生成の詳細については、「IAM Access Analyzer ポリシーの生成」を参照してください。